Datenpanne bei Online-Versandhaus Libri weitet sich aus

Hamburg. Nicht nur 500000 Buchbestellungen beim Internet-Großhändler Libri ungesichert waren. Auch die Konten von verschiedenen Buchhändlern seien offenbar einsehbar gewesen. Das Unternehmen habe mittlerweile die Lücke geschlossen. Ein Schaden sei laut Libri nicht entstanden.

Die Datenpanne beim Internet-Buchgroßhändler Libri zieht offenbar weitere Kreise. Nach Angaben des Hamburger Datenschutzbeauftragten Johannes Caspar ist das Datenleck bei Libri größer als angenommen. Neue Erkenntnisse dokumentierten, dass die Konten von verschiedenen Buchhändlern nicht hinreichend gesichert waren, teilte Caspar mit. Libri habe den Buchhändlern auf der Website sogenannte Stores zur Verfügung gestellt.

Am Donnerstag war bekanntgeworden, dass bei dem Unternehmen seit längerer Zeit etwa 500 000 Buchbestellungen der Kunden ungesichert im Internet standen. Die Daten enthielten die Adressen der Kunden sowie den Titel der von ihnen bestellten Bücher samt Rechnung. Das Unternehmen räumte den Fehler ein und konnte eigenen Angaben zufolge die Lücke schnell schließen. Ein Schaden ist laut Libri nicht entstanden.

Passwörter leicht zu erraten

Die Stores enthalten laut Caspar Angaben über die etwa 1000 Buchhändler und deren Buchbestellungen bei Libri. Aufgeführt sind zudem die Kundenlisten von Buchhändlern mit Namen, Postanschrift und E-Mail-Adressen. Neben dem Umsatz der einzelnen Kunden ist auch der Buchtitel vermerkt. Die von Libri hierfür verteilten Initialpasswörter enthielten laufende Nummerierungen. So ließen sich Caspar zufolge anhand der Daten eines Shops leicht die Passwörter anderer Shops erraten, die keine Änderungen der Initialpasswörter vorgenommen hatten.

«Die Erkenntnisse dokumentieren ein erhebliches Ausmaß an Unkenntnis und Nachlässigkeit im Umgang mit personenbezogenen Daten und der Datensicherheit», sagte Caspar. Der ganze Fall offenbare eine Kette von erheblichen Pannen mit unterschiedlichen Beteiligten. Am Ende der Kette habe letztlich der Kunde gestanden, um dessen Datensicherheit sich nicht gekümmert worden sei, sagte der Datenschützer. (ddp)